strubartacus
Goto Top

Nach Router-Wechsel funktioniert VPN von Windows Server 2012 R2 Essentials nicht mehr

Hallo zusammen

Seit letzter Woche besitze ich einen Lancom 1781EF+. Soweit bin ich auch
begeistert von diesem Gerät. Ob VPN oder Policy Based Routing, alles läuft
zu meiner Zufriedenheit. Gestern jedoch, ist mir eine Sache aufgefallen die
ich ich einfach nicht mehr zum laufen bringe. Und zwar geht es um den VPN
Zugang über den Windows 2012 R2 Server. Dabei wurden die Ports 80 und 443
zum Server weitergeleitet. Die Verbindung kann ohne Probleme aufgebaut
werden zum Server und in der Routingtabelle des Client werden auch die korrekten Einträge erstellt , ein Zugriff auf Ressourcen im LAN ist jedoch trotzdem nicht
möglich, als würde irgendwas geblockt. Mit meinem alten Router, einem
D-Link DSR-1000N lief alles wie gewohnt und dies ist auch die einzige
Änderung zum Vorzustand. Wo könnte da das Problem liegen ?

Content-ID: 230924

Url: https://administrator.de/contentid/230924

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

goscho
goscho 25.02.2014 aktualisiert um 11:42:19 Uhr
Goto Top
Hi,

wenn du doch so einen tollen Lancom VPN-Router hast, wozu soll dann dein Windows-Server noch VPN machen?
Lass den Lancom das VPN regeln, dann hat dein Server weniger damit zu tun und kann sich um seine eigentlichen Aufgaben kümmern. face-wink

Die Weiterleitung zum Server per SSL auf Port 443 kann u.U. dadurch verhindert werden, dass du dich bei deinem Router von außen auf dem selben Port für die Fernkonfiguration einwählst.
Das hatte ich bei anderen Routern jedenfalls schon.
Dann ändert man den Port für die Einwahl aus dem WAN auf bspw. 4433 und es klappt wieder.
108012
108012 25.02.2014 um 11:43:16 Uhr
Goto Top
Hallo,

Ob VPN oder Policy Based Routing, alles läuft
zu meiner Zufriedenheit.
Beides am Lancom Router?

Und zwar geht es um den VPN Zugang über den Windows
2012 R2 Server. Dabei wurden die Ports 80 und 443
zum Server weitergeleitet.
Was für ein VPN ist das denn? Und welche Software
wird auf dem Server eingesetzt denn eingesetzt?

Wo könnte da das Problem liegen ?
Mit dem Router ändert sich natürlich auch die MAC Adresse
und wenn die Firewall des MS Servers diese irgend wie nutzt
und zwar in Verbindung mit der VON Verbindung dann ist das
wohl der Grund warum es nicht mehr funktioniert.

Gruß
Dobby
STRUBartacus
STRUBartacus 25.02.2014 um 11:50:17 Uhr
Goto Top
Zitat von @goscho:

Hi,

wenn du doch so einen tollen Lancom VPN-Router hast, wozu soll dann dein Windows-Server noch VPN machen?
Lass den Lancom das VPN regeln, dann hat dein Server weniger damit zu tun und kann sich um seine eigentlichen Aufgaben
kümmern. face-wink

Die Weiterleitung zum Server per SSL auf Port 443 kann u.U. dadurch verhindert werden, dass du dich bei deinem Router von
außen auf dem selben Port für die Fernkonfiguration einwählst.
Das hatte ich bei anderen Routern jedenfalls schon.
Dann ändert man den Port für die Einwahl aus dem WAN auf bspw. 4433 und es klappt wieder.

Die VPN-Funktion des Routers wird ja auch ausgiebig benutzt, jedoch will ich auf die VPN-Funktion des Servers nicht verzichten. Sie funktionierte ja auch tadellos bis vor kurzem. Wie gesagt, der Verbindungsaufbau funktioniert ja, jedoch kann ich weder auf den Server noch andere Ressourcen im Netz zugreifen.
goscho
goscho 25.02.2014 um 12:23:08 Uhr
Goto Top
Zitat von @STRUBartacus:
Die VPN-Funktion des Routers wird ja auch ausgiebig benutzt, jedoch will ich auf die VPN-Funktion des Servers nicht verzichten.
Das muss man aber jetzt nicht verstehen, oder?
Wer benötigt noch dieses VPN zum Server hinter der Firewall, wenn die Firewall selbst das VPN bereitstellen kann?

Sie funktionierte ja auch tadellos bis vor kurzem. Wie gesagt, der Verbindungsaufbau funktioniert ja, jedoch kann ich weder auf
den Server noch andere Ressourcen im Netz zugreifen.
Sicher, dass die Verbindung steht? Ping auf LAN-IP bringt was?

Bzgl. der Ressourcen habe ich dir ja noch den Tipp mit den Ports gegeben.
STRUBartacus
STRUBartacus 25.02.2014 aktualisiert um 13:07:20 Uhr
Goto Top
Zitat von @108012:
Beides am Lancom Router?

Ja beides am Lancom Router

Zitat von @108012:
Was für ein VPN ist das denn? Und welche Software
wird auf dem Server eingesetzt denn eingesetzt?


Es ist das eingebaute VPN der Essential Rolle das glaub ich auf RAS basiert und automatisch auf den Clients eingerichtet wird während der Connectorinstallation.

Zitat von @108012:
Mit dem Router ändert sich natürlich auch die MAC Adresse
und wenn die Firewall des MS Servers diese irgend wie nutzt
und zwar in Verbindung mit der VON Verbindung dann ist das
wohl der Grund warum es nicht mehr funktioniert.

Das ist ein guter Tipp, werd ich prüfen. Hat der RAS-Dienst vielleicht selber noch irgendwo ne MAC-Bindung ?
Arch-Stanton
Arch-Stanton 25.02.2014 um 13:06:45 Uhr
Goto Top
nicht zu verstehen... lass den Blödsinn!

Gruß, Arch Stanton
STRUBartacus
STRUBartacus 25.02.2014 aktualisiert um 13:54:18 Uhr
Goto Top
Zitat von @Arch-Stanton:

nicht zu verstehen... lass den Blödsinn!

Die zweigleisige VPN-Strategie ? face-big-smile

Harmoniert denn der eingebaute VPN-Client von Windows 8.1 Pro mit den Lancom Routern ? Wäre sonst noch zu überlegen face-smile Jedoch will ich nicht einen separaten VPN-Client auf jedem Client installieren müssen welcher auch nicht so einfach administrierbar ist wie das "Essentials-VPN"
STRUBartacus
STRUBartacus 25.02.2014 um 14:36:41 Uhr
Goto Top
Ich habe soeben noch entdeckt, dass das Netzwerkprofil auf Privat anstatt Domänennetzwerk stand. Dass hängt wohl mit dem neuen Router zusammen. Hat einer ne Idee wie man dies korrigieren kann ? Ich habe durch googlen den Tip gefunden, das man den NLA-Dienst neustarten bzw. auf verzögert starten soll. Dies funktioniert auch soweit, aber ist dies auch der saubere Weg ? Wie kann ich dem 2012-R2 beibringen, dass jetzt das Lancom Netzwerk sein Domänennetzwerk ist ?

Ob das Netzwerkprofil einen Einfluss auf die VPN-Funktionalität hatte, kann ich erst heute Abend testen.
108012
Lösung 108012 25.02.2014 aktualisiert um 18:11:47 Uhr
Goto Top
Hat der RAS-Dienst vielleicht selber noch irgendwo ne MAC-Bindung ?
Kann ich Dir nicht sagen denn ich nutze nie die MS eigenen
VPN Klienten und auch nie einen MS Server dazu! Nochmals
ich nutze beides nie.

VPN ist eben keine einfache Sache und der eine oder andere
setzt es auch mehr oder eben auch mal weniger intelligent
um, nur wenn man das Pferd von diesem Ende her aufzäumt
ist es wohl auch etwas besser zu verstehen dass ich alle
unnötigen Fehlerquellen von vorne herein aus schalten möchte
und die alte Mär vom MS Server mit potenter Hardware der
dann auch viel mehr Verbindungen akzeptiert ist auch nichts
halbes und nichts ganzes! Denn bei Lancom zahlt man etwas
geld mehr und bekommt zu dem Modell denn auch noch eine
VPN Lizenzerweiterung so das mehr VPN abgehandelt werden
können ansonsten einfach einen Lacom VPN Konzentrator oder
einen Draytek Vigor3900 kaufen und dann ist die Wiese auch
wieder grün.

Gruß
Dobby
STRUBartacus
STRUBartacus 25.02.2014 um 18:13:06 Uhr
Goto Top
Ich konnte des Problem mittlerweile lösen. Ich habe dem RAS-Dienst einen statischen Adressbereich für die Clients zugewiesen. Anscheinend klappt da irgendwas nicht mit dem DHCP-Server des Lancom Routers. Vielen Dank trotzdem face-smile
goscho
goscho 25.02.2014 um 18:50:19 Uhr
Goto Top
Zitat von @STRUBartacus:

Ich konnte des Problem mittlerweile lösen. Ich habe dem RAS-Dienst einen statischen Adressbereich für die Clients
zugewiesen. Anscheinend klappt da irgendwas nicht mit dem DHCP-Server des Lancom Routers. Vielen Dank trotzdem face-smile

Du hast einen W2012 Essentials und lässt den Lancom DHCP machen.
Das ist genauso wenig sinnvoll, wie den Windows-Server das VPN managen zu lassen, wo du doch den Lancom Router hast.

Nutzt du denn wenigstens L2TP oder gar noch PPTP auf dem Windows-Server bzw. welches VPN stellt der Lancom bereit?
Interessante Lektüre: Der Todesstoß für PPTP

Die zweigleisige VPN-Strategie ? face-big-smile
Harmoniert denn der eingebaute VPN-Client von Windows 8.1 Pro mit den Lancom Routern ? Wäre sonst noch zu überlegen face-smile Jedoch will ich nicht einen separaten VPN-Client auf jedem Client installieren müssen welcher auch nicht so einfach administrierbar ist wie das "Essentials-VPN"
Weil viele so denken und sich nicht richtig mit der Materie auseinandersetzen, wird oft das schnellste und unsicherste genutzt, was da ist.

Wenn du den kostenlosen Shrew-VPN-Clienten für eine IPSEC-Verbindung konfiguriert hast, ist es ein Kinderspiel, diese Konfiguration abzuspeichern und auf andere Clients zu verteilen.
Ist beim Kauf eines Lancom Routers kein VPN-Client dabei?
108012
108012 25.02.2014 um 19:31:49 Uhr
Goto Top
Du hast einen W2012 Essentials und lässt den Lancom DHCP
machen. Das ist genauso wenig sinnvoll, wie den Windows-Server
das VPN managen zu lassen, wo du doch den Lancom Router hast.
Das kann man auch beide machen lassen, nur man muss wissen wer
macht den DHCP für wen!!! Der MS Server kann das ja für das LAN
machen und der Lancom macht dann DHCP für die VPN Klienten.

Sollte so funktionieren und wenn es Probleme gibt einfach
über die DHCP Relay Agent Funktion lösen, das funktioniert
dann sofort.

Weil viele so denken und sich nicht richtig mit der Materie
auseinandersetzen, wird oft das schnellste und unsicherste
genutzt, was da ist.
Ich gehe sogar noch einen weiter ein Draytek Vigor3900 kostet
eben auch gleich mal ~750 €, und der Server steht einfach so
herum und kann das doch auch und zwar viel billiger, nur eben
nicht so sicher und gleich 500 Klienten auf einmal, das ist das
wirkliche Problem denke ich.

Ich konnte des Problem mittlerweile lösen.
Dann würdest Du auch das wirkliche Problem kennen und nicht
sagen bzw. schreiben irgend etwas im Lancom Router
funktioniert nicht.

Ich habe dem RAS-Dienst einen statischen Adressbereich für die
Clients zugewiesen.
Das kann man auch am Lancom Router.

Anscheinend klappt da irgendwas nicht mit dem DHCP-Server
des Lancom Routers. Vielen Dank trotzdem face-smile
Siehst Du das meinte ich mit den vielen Fehlerquellen!!!
Und in zwei Jahren funktioniert nichts mehr so richtig im
Netzwerk (LAN) und man muss richtig ran.

Mal was ganz anderes wie dokumentierst Du das denn
in Eurer Dokumentation?

Gruß
Dobby
STRUBartacus
STRUBartacus 25.02.2014 aktualisiert um 20:21:25 Uhr
Goto Top
Ich glaube ich muss hier was klarstellen: Es geht hier um mein privates Netzwerk und dieses muss zwangsläufig auch als Testab hinhalten face-wink

- Bei der VPN-Technologie handelt es sich um SSTP, was sehr praktisch ist, da es über Port 443 kommuniziert und man so sicher immer ins heimische Netz kommt. Zusätzlich habe ich noch 3 Site to Site VPNs, welche natürlich über den Lancom laufen.

- Den DHCP hab ich bewusst nicht auf dem Windows Server laufen da dieser durchaus auch mal offline sein kann face-wink